iPhone verbindt met TLS 1.0

Geen idee. Maar kan TLS 1.0 en 1.1 niet serverside worden uitgeschakeld...? Lijkt me sowieso wel prettig. Tenzij je legacy meuk hebt die ‘t nodig heeft natuurlijk.

Dat terzijde vind ik het wat raar dat de iPhone TLS 1.0 zou kiezen. Ik heb voor de lol TLS 1.0 en 1.1 even aangezet op m’n server (noot: dit is gewoon een linux bak). Verkeer bekeken: de iPhone adverteert 1.2 en verbindt daar ook mee, hij downgrade dus niet terwijl 1.0 wel beschikbaar is - in tegenstelling tot wat bij jou lijkt te gebeuren (ik draai 12.1.4 overigens). De enige paar redenen die ik me zo 1,2,3 om 4AM zou kunnen voorstellen dat dat gebeurt is als de server 1.0 bij voorkeur verkiest of de handshake voor 1.2 om de een of andere reden faalt en iOS dan maar een downgrade probeert (kennelijk met succes).

Als het je dwars zit/je bent nieuwsgierig zou je eens het netwerkverkeer kunnen onderscheppen en de handshakes bekijken. Wat adverteert de iPhone, wat is het antwoord van de server en wat doet de iPhone vervolgens met dat antwoord. Dat kan wellicht een betere blik op de zaak werpen. Of als je een testbak hebt met hetzelfde probleem, daar exact dezelfde config laden, 1.0 en 1.1 eens uitzetten en kijken of dan de hele verbinding faalt (dan zie je wss allerlei handshake errors) of dat ie dan opeens wel 1.2 kiest. Indien dat eerste gebeurt gaat er ergens iets mis bij het handjeklappen en dan zou denk ik de eerste verdachte de ciphersuite zijn... Als dat tweede gebeurt ehh... Ja, dat zou apart zijn en zou ik toch es kijken wat de server als antwoord geeft tijdens de handshake als 1.0/1.1 actief zijn.

Afijn, ik heb nauwelijks ervaring met Exchange/Office365 dus improviseer ook maar wat. Het zijn slechts wat tips die je misschien op weg helpen met het analyseren als je dat zou willen. Op de vraag wanneer 1.0 eruit gesloopt wordt heb ik sowieso geen antwoord. Ik ben bang dat dat nog even blijft vanwege backward compatibility met oude mailservers (op ‘t www (Safari) ligt dat wat anders), dan is ‘t handiger om uit te vogelen waarom het gebeurt. (Of 1.0 en 1.1 server-side eruit trappen als je daarmee weg kan komen.)

[ Voor 4% gewijzigd door WhatsappHack op 15-02-2019 04:01 ]

iOS mail kan verbinden met TLS 1.2. Dat is (gelukkig) niet gelimiteerd tot 1.0 of 1.1 oid. Ook is dat op 365 geen standaard gegeven.

Zijn het iPhones welke al veel langer aan 365 verbonden zijn? Want dan zou het nog kunnen helpen de 365 accounts eens opnieuw toe te voegen.

De bij Office bekende beperkingen met tls 1.0/1.1 staan hier overigens.

[ Voor 26% gewijzigd door Donstil op 15-02-2019 12:30 ]

Jazzy schreef op vrijdag 15 februari 2019 @ 16:47:
[...]
Heb je hier documentatie van?

Zou ik even op moeten zoeken alleen ik werk niet op vrijdag

Edit:

Van de volgende clients is bekend dat ze TLS 1.2 niet kunnen gebruiken. Werk uw clients bij om ononderbroken toegang tot de service te waarborgen.

Android 4.3 en eerdere versies
Firefox versie 5.0 en eerdere versies
Internet Explorer 8-10 op Windows 7 en eerdere versies
Internet Explorer 10 op Win Phone 8.0
Safari 6.0.4/OS X10.8.4 en eerdere versies

iOS Mail staat hier ook niet bij overigens.

[ Voor 50% gewijzigd door Donstil op 15-02-2019 16:59 ]

Jazzy schreef op vrijdag 15 februari 2019 @ 17:14:
Voor de duidelijkheid, ik ben dus juist op zoek naar informatie over de Mail app. Zie ook de startpost en de zin in je post die ik gequote had.

Ja iOS mail, got it

Ik gebruik een iPhone 7 met IOS 12.1.4.
Hierop heb ik de Mail app geconfigureerd met een eigen Exchange server.
Dit gaat via een reverse proxy (HAProxy).
De log file geeft dit aan (enkele data geanonymiseerd):
Feb 22 08:56:30 proxbox haproxy[28176]: xx.xx.xx.xxx:52664 [22/Feb/2019:08:55:30.874] https~ mailbox/static 0/0/1/-1/60002 504 195 - - sH-- 1/1/0/0/0 0/0 "POST /Microsoft-Server-ActiveSync?User=xxx.xxxxxx&DeviceId=xxxxxxxxxxxxxxxxxxxxxxxxxx&DeviceType=iPhone&Cmd=Ping HTTP/1.1" TLSv1.2 ECDHE-RSA-AES256-GCM-SHA384

Ziet ernaar uit dat TLSv1.2 weldegelijk wordt gebruikt door de Mail app.